Уязвимость в iOS блокирует шифрование трафика VPN

В iOS обнаружена уязвимость, из-за которой виртуальные частные сети (VPN) не могут шифровать трафик, а некоторые интернет-соединения и вовсе обходят шифрование VPN, раскрывая данные пользователя и IP-адреса. Проблема затрагивает версию iOS 13.3.1 и выше.

Как сообщили специалисты из ProtonVPN, уязвимость не затрагивает подключения, выполненные после подключения к VPN на iOS-устройстве, однако все ранее установленные подключения будут оставаться за пределами защищенного трафика VPN. Проблема получила оценку в 5,3 балла по шкале CVSS v3.1.

Ошибка связана с тем, что iOS не прерывает все существующие интернет-соединения, когда пользователь подключается к VPN, и автоматически подключает их к целевым серверам после установки VPN-туннеля.

«Большинство соединений кратковременны и в конечном итоге будут восстановлены через VPN-туннель самостоятельно. Однако некоторые из них работают долго и могут оставаться открытыми от нескольких минут до нескольких часов за пределами VPN-туннеля», — пояснили эксперты.

Проблема может привести к серьезным последствиям. Например, пользовательские данные могут быть раскрыты третьим сторонам, если соединения не зашифрованы, а утечки IP-адресов могут потенциально раскрыть местоположение пользователей или подвергнуть их риску атак.

Apple признала наличие уязвимости обхода VPN и в настоящее время работает над ее устранением. Компания рекомендует пользователям использовать Always-on VPN в качестве временного решения данной проблемы.